雲端工程師都想要確保自己的解決方案具備容錯和擴充能力。您的應用程式可能會有多個階層，而且就算架構中部署的虛擬機器 (VM) 執行個體只有一部分須開放公開存取，這些執行個體也要能夠擴充和容錯。同樣地，解決方案也必須確保流量在各個 VM 之間平衡分配。基於上述原因，架構中最重要的服務之一，就是有韌性且可擴充的負載平衡器。這項服務要能處理和重新導向流量，以及持續執行健康狀態檢查。

在 Azure 中，您可以透過通用的執行個體範本建立六個 VM，然後建立兩個代管群組並分別將三個 VM 加入各個群組中，將 VM 視為一個單元來管理及調度資源。接著您可設定健康狀態檢查探測，確保負載平衡器只會將流量轉送至 VM 通訊埠。

您可以透過網路位址轉譯 (NAT) 規則，讓 VM 存取虛擬網路之外的資源和服務、設定內部網路負載平衡器來使用上述兩個代管群組和健康狀態檢查探測，然後運用流量模擬工具執行測試，確保系統正確分配流量。

如要完成建立作業，打造出具備高可用性和擴充性、能在其他環境輕鬆部署的網頁應用程式，您必須依據 Azure Resource Manager (ARM) 範本建立範本，說明資源依附關係來確保一致性。

接著，您會學習如何有效率地在 Google Cloud 管理流量及調度服務資源。

總覽

Google Cloud 可為 TCP/UDP 型流量提供內部網路負載平衡功能。運用這項功能，即可透過私人負載平衡 IP 位址執行服務及調度服務資源，這類 IP 位址只能透過內部的虛擬機器執行個體存取。

在本實驗室中，您將建立兩個位於相同區域的代管執行個體群組，接著設定以這些執行個體群組為後端的內部網路負載平衡器，並進行測試，如下方網路圖表所示：

目標

在這個實驗室中，您會瞭解如何執行下列工作：

• 建立內部流量與健康狀態檢查防火牆規則。
• 使用 Cloud Router 建立 NAT 設定。
• 設定兩個執行個體範本。
• 建立兩個代管執行個體群組。
• 設定及測試內部網路負載平衡器。

設定和需求

每個實驗室都會提供新的 Google Cloud 專案和一組資源，讓您在時限內免費使用。

1. 請透過無痕視窗登入 Google Skills。

2. 注意實驗室時間限制 (例如 1:15:00)，並確實在該時限內完成相關工作。實驗室無法暫停。您可以重新開始，但原有進度不會保留。

3. 準備就緒後，請按一下「Start lab」。

4. 請記下研究室憑證 (使用者名稱和密碼)，這組資訊將用於登入 Google Cloud 控制台。

5. 點選「Open Google Console」。

6. 點選「Use another account」，然後複製本實驗室的憑證，並貼到提示訊息中。 如果使用其他憑證，會出現錯誤訊息或產生費用。

7. 接受條款，然後略過資源復原頁面。

工作 1：設定內部流量與健康狀態檢查防火牆規則。

請設定防火牆規則，允許來自 10.10.0.0/16 範圍中來源的內部流量連線。這項規則會允許所有來自子網路用戶端的連入流量。

健康狀態檢查會判斷負載平衡器的哪些執行個體能接收新的連線。以應用程式負載平衡 (HTTP) 來說，對達到負載平衡的執行個體執行健康狀態檢查探測時，探測要求的來源位址範圍為 130.211.0.0/22 和 35.191.0.0/16。防火牆規則必須允許這類連線。

探索 my-internal-app 網路

系統已設定 my-internal-app 網路和其子網路 subnet-a 與 subnet-b，以及 RDP、SSH 與 ICMP 流量的防火牆規則。

• 前往 Cloud 控制台的「導覽選單」，依序點選「虛擬私有雲網路」>「虛擬私有雲網路」。
  可看到 my-internal-app 網路有兩個子網路：subnet-a 和 subnet-b。

  每項 Google Cloud 專案一開始就有一個預設網路。此外，系統已為您建立 my-internal-app 網路，如網路圖表所示。

  您將在 subnet-a 和 subnet-b 建立代管執行個體群組。這兩個子網路都位於 區域，因為內部網路負載平衡器屬於區域性服務。代管執行個體群組則會位於不同的可用區，以免服務因可用區故障而無法運作。

建立防火牆規則，允許來自 10.10.0.0/16 範圍中任何來源的流量

建立防火牆規則，允許 10.10.0.0/16 子網路的流量。

1. 在「導覽選單」 中，依序點選「虛擬私有雲網路」>「防火牆」。
   頁面上可看到 app-allow-icmp 和 app-allow-ssh-rdp 防火牆規則。

   系統已為您建立這些防火牆規則。

2. 按一下「建立防火牆規則」。

3. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	fw-allow-lb-access
   網路	my-internal-app
   目標	指定的目標標記
   目標標記	backend-service
   來源篩選器	IPv4 範圍
   來源 IPv4 範圍	10.10.0.0/16
   通訊協定和通訊埠	全部允許

注意：請務必在「來源 IPv4 範圍」欄位中加入 /16。

4. 點選「建立」。

建立健康狀態檢查規則

建立防火牆規則，允許健康狀態檢查。

1. 在「導覽選單」 上，依序點選「虛擬私有雲網路」>「防火牆」。

2. 按一下「建立防火牆規則」。

3. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	fw-allow-health-checks
   網路	my-internal-app
   目標	指定的目標標記
   目標標記	backend-service
   來源篩選器	IPv4 範圍
   來源 IPv4 範圍	130.211.0.0/22 和 35.191.0.0/16
   通訊協定和通訊埠	指定的通訊協定和通訊埠

注意：請務必在「來源 IPv4 範圍」欄位中加入 /22 和 /16。

4. 勾選「TCP」核取方塊並指定通訊埠 80。
5. 點選「建立」。

點選「Check my progress」，確認目標已達成。 設定內部流量與健康狀態檢查防火牆規則

工作 2：使用 Cloud Router 建立 NAT 設定

在這項工作中，您會建立 Cloud Router 執行個體並設定 Cloud NAT，讓後端執行個體可傳出流量。

您在工作 3 設定的 Google Cloud VM 後端執行個體不會有外部 IP 位址。

您要設定 Cloud NAT 服務，允許 VM 執行個體只透過 Cloud NAT 傳出流量，並透過負載平衡器接收傳入流量。

建立 Cloud Router 執行個體

1. 前往 Google Cloud 控制台，在標題列的搜尋欄位輸入網路服務，然後點選「產品和頁面」部分中的「網路服務」。

2. 在「網路服務」頁面，點選「網路服務」旁的「固定」。

3. 點選「Cloud NAT」。

4. 點選「立即開始」來設定 NAT 閘道。

5. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   閘道名稱	nat-config
   網路	my-internal-app
   區域

6. 點選「Cloud Router」，選擇「建立新路由器」。

7. 在「名稱」部分輸入 nat-router-。

8. 點選「建立」。

9. 在「建立 Cloud NAT 閘道」部分，按一下「建立」。

注意：請等待 NAT 閘道狀態變更為「執行中」，再繼續下一項工作。

點選「Check my progress」，確認目標已達成。 使用 Cloud Router 建立 NAT 設定

工作 3：設定執行個體範本和建立執行個體群組

在這項工作中，您會驗證預先設定的執行個體範本和代管執行個體群組。您將在現有的執行個體中執行開機指令碼，並建立公用程式 VM 來測試能否連線至後端執行個體。

代管執行個體群組會使用執行個體範本，建立內含相同執行個體的群組。這些執行個體可用於建立內部網路負載平衡器的後端。

這項工作已於本實驗室開始時自動執行完畢。您需要透過 SSH 連線至各個執行個體群組 VM，並執行下列指令來設定環境。

1. 依序點選導覽選單中的「Compute Engine」>「VM 執行個體」。
   請找出開頭分別為 instance-group-1 和 instance-group-2 的兩個執行個體。

2. 點選 instance-group-1 旁的「SSH」按鈕，透過 SSH 連線至 VM。

3. 如果出現「允許透過瀏覽器中的 SSH 連線至 VM」提示訊息，請點選「授權」。

4. 執行下列指令，重新執行執行個體的開機指令碼：

sudo google_metadata_script_runner startup

5. 針對 instance-group-2 重複執行上述步驟。

6. 兩個開機指令碼皆執行完畢後，即可關閉每個 VM 的 SSH 終端機。開機指令碼的輸出內容應如下所示：

Finished running startup scripts.

確認後端的網站可存取

確認兩個子網路內已建立 VM 執行個體，然後建立公用程式 VM，以便存取後端的 HTTP 網站。

1. 依序點選導覽選單中的「Compute Engine」>「VM 執行個體」。
   請找出開頭分別為 instance-group-1 和 instance-group-2 的兩個執行個體。

   這些執行個體位於不同的可用區，其內部 IP 位置屬於 subnet-a 和 subnet-b CIDR 區塊的一部分。

2. 點選「建立執行個體」。

3. 在「機器設定」頁面指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	utility-vm
   區域
   可用區
   系列	E2
   機型	e2-medium

4. 點選「OS 和儲存空間」。

5. 如果顯示的「映像檔」不是「Debian GNU/Linux 12 (bookworm)」，請按一下「變更」並選擇「Debian GNU/Linux 12 (bookworm)」，再點按「選取」。

6. 點選「網路」。

7. 在「網路介面」部分，點選下拉式選單來編輯網路介面。

8. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   網路	my-internal-app
   子網路	subnet-a
   主要內部 IP	臨時 (自訂)
   自訂臨時 IP 位址	10.10.20.50
   外部 IPv4 位址	無

9. 點選「完成」。

10. 點選「建立」。

11. 請注意，後端的內部 IP 位址是 10.10.20.2 和 10.10.30.2。

注意：如果 IP 位址不同，請在下方的兩個 curl 指令中替換 IP 位址。

點選「Check my progress」，確認目標已達成。 設定執行個體範本和建立執行個體群組

12. 在「utility-vm」部分，點選「SSH」啟動終端機並連線。

13. 如果出現「允許透過瀏覽器中的 SSH 連線至 VM」提示訊息，請點選「授權」。

14. 請執行下列指令，確認 instance-group-1-xxxx 的歡迎頁面可存取：

curl 10.10.20.2

輸出內容應如下所示。

輸出內容：

<h1>Internal Load Balancing Lab<><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname<h2>Server Hostname: instance-group-1-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone|Zone}}}

15. 請執行下列指令，確認 instance-group-2-xxxx 的歡迎頁面可存取：

curl 10.10.30.2

輸出內容應如下所示。

輸出內容：

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-q5wp<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2|Zone2}}}

注意：此做法可確認內部負載平衡器是否將流量傳送到兩個後端。

15. 關閉 utility-vm 的 SSH 終端機：

exit

工作 4：設定內部網路負載平衡器

在這項工作中，您將設定內部網路負載平衡器，在兩個後端之間平均分配流量 (後端分別為 的 instance-group-1 和 的 instance-group-2)，如下方網路圖表所示。

開始設定

1. 前往 Cloud 控制台，依序點選「導覽選單」圖示 () >「網路服務」>「負載平衡」。
2. 點選「+ 建立負載平衡器」。
3. 「負載平衡器類型」請選取「網路負載平衡器 (TCP/UDP/SSL)」，然後點選「下一步」。
4. 在「直通或使用 Proxy」部分，選取「直通式負載平衡器」，然後點選「下一步」。
5. 在「公開或內部」部分，選取「內部」，然後點選「下一步」。
6. 在「建立負載平衡器」部分，點選「設定」。
7. 「負載平衡器名稱」請輸入 my-ilb。
8. 「區域」請選取「」。
9. 在「網路」部分，從下拉式選單中選取 my-internal-app。

設定區域後端服務

後端服務可監控執行個體群組，避免用量超過設定值。

1. 按一下「後端設定」。

2. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示選取選項)
   執行個體群組	instance-group-1 ()

3. 點選「完成」。

4. 點選「新增後端」。

5. 在「執行個體群組」部分，選取「instance-group-2 ()」。

6. 點選「完成」。

7. 在「健康狀態檢查」部分，選取「建立健康狀態檢查」。

8. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示選取選項)
   名稱	my-ilb-health-check
   通訊協定	TCP
   通訊埠	80
   檢查時間間隔	10 秒
   逾時間隔	5 秒
   良好健康狀態判定門檻	2
   不良健康狀態判定門檻	3

注意：健康狀態檢查會判斷哪些執行個體可以接收新的連線。HTTP 健康狀態檢查每 10 秒會輪詢執行個體一次，最多等待 5 秒來接收回應。健康狀態良好的判定門檻為成功 2 次，不良則為失敗 3 次。

9. 點選「建立」。
10. 確認 Cloud 控制台的「後端設定」旁顯示了藍色勾號。如未顯示，請重新檢查一遍，確認是否已完成上述所有步驟。

設定前端

前端會將流量傳送到後端。

1. 按一下「前端設定」。

2. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   子網路	subnet-b
   「內部 IP 用途」>「IP 位址」	建立 IP 位址

3. 指定下列屬性，其餘設定保留預設值：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	my-ilb-ip
   靜態 IP 位址	自行選擇
   自訂 IP 位址	10.10.30.5

4. 按一下「保留」。

5. 在「通訊埠」的「通訊埠編號」，輸入 80。

6. 點選「完成」。

檢查並建立內部網路負載平衡器

1. 點選「檢查並完成」。
2. 檢查「後端」和「前端」。
3. 點選「建立」。
   等待負載平衡器建立完成，再開始執行下一項工作。

點選「Check my progress」，確認目標已達成。 設定內部網路負載平衡器

工作 5：測試內部網路負載平衡器

在這項工作中，您將驗證 my-ilb 的 IP 位址能否順利將流量傳送到 的 instance-group-1 和 的 instance-group-2。

存取內部網路負載平衡器

1. 依序點選導覽選單中的「Compute Engine」>「VM 執行個體」。
2. 在「utility-vm」部分，點選「SSH」啟動終端機並連線。
3. 如果出現「允許透過瀏覽器中的 SSH 連線至 VM」提示訊息，請點選「授權」。
4. 請執行下列指令，確認內部網路負載平衡器能順利轉送流量：

curl 10.10.30.5

輸出內容應如下所示。

輸出內容：

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2|Zone2}}} 注意：一如預期，流量從內部負載平衡器 (10.10.30.5) 轉送至後端。

4. 重複執行相同的指令數次：

curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5

您應該會看到 中的 instance-group-1 和 中的 instance-group-2 發出回應。如果沒有看到回應，請再次執行指令。

恭喜！

在本實驗室中，您在 區域建立了兩個代管執行個體群組，並設定了防火牆規則來接收傳至這些執行個體的 HTTP 流量，以及來自 Google Cloud 健康狀態檢查工具的 TCP 流量。接著，您為這些執行個體群組設定了內部網路負載平衡器，並完成測試。

摘要

Google 內部網路負載平衡器和 Azure 負載平衡器的用途類似，都是在特定服務的多個執行個體之間分配網路流量，不過兩者之間還是有幾個重要差異：

相似處：

• 這兩個平台都能讓您在特定服務的多個執行個體之間，執行網路流量的負載平衡作業。
• 兩者皆支援 TCP 和 UDP 通訊協定。
• 兩者皆可設為使用 round robin 演算法來分配流量。

差異：

• Google 內部網路負載平衡器通常用於單一資料中心或 on-premises 網路，Azure 負載平衡器則適用於在雲端中的多個虛擬機器或雲端服務之間平衡流量負載。
• 一般來說，Azure 負載平衡器是透過 Azure 入口網站管理，Google 內部網路負載平衡器則是透過底層作業系統的網路設定管理。
• Azure 負載平衡器會自動將流量分配給健康狀態良好的執行個體，藉此達到高可用性，Google 內部網路負載平衡器則可讓您手動管理流量。

關閉研究室

如果您已完成實驗室，請點選「End Lab」。Google Skills 會清除您使用的資源和帳戶。

您可以為實驗室的使用體驗評分。請選取合適的星級評等並提供意見，然後按一下「Submit」。

星級評等代表您的滿意程度：

• 1 星 = 非常不滿意
• 2 星 = 不滿意
• 3 星 = 普通
• 4 星 = 滿意
• 5 星 = 非常滿意

如果不想提供意見回饋，您可以直接關閉對話方塊。

如有任何想法、建議或指教，請透過「Support」分頁提交。

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。